2016年04月11日

11. Webアプリケーションの不必要な情報による脆弱性(パスワード)

私が最近携わったセキュア化支援での指摘事項をまとめておきます。
なお、何れの対象システムもApache、Tomcatを利用したグローバル(インターネット)領域に公開するWebアプリケーションです。

【検出内容】
パスワード(クレジットカード番号やセキュリティコードを含む)を入力確認画面などでフル表示していたため、
アカウント認証失敗時に親切過ぎるエラーメッセージを表示していたため、
アカウント認証画面のパスワード項目にオートコンプリート機能が有効になっていたため、
(その上、アカウント認証失敗によるアカウントロック機能も実装されていなかっため、)
パスワードクラックされ易い状態になっていた。

【(想定)被害内容】
アカウントを乗っ取られ、Webアプリケーションを不正利用される。

【対策内容】
パスワード(クレジットカード番号やセキュリティコードを含む)はフル表示しない。
アカウント認証失敗時には簡素なエラーメッセージを表示する。
アカウント認証画面のパスワード項目にはオートコンプリート機能を無効にする。
※業務システムであることを前提として、オートコンプリート機能を無効にすることを推奨します。

【関連する記事】
posted by red at 00:14| Comment(0) | TrackBack(0) | セキュア化支援 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック